Domande generali

Cos'è AWS Single Sign-On (AWS SSO)?

AWS SSO è un servizio che ti consente di utilizzare le tue credenziali esistenti di Microsoft Active Directory per accedere alle applicazioni basate sul cloud quali gli account AWS e le applicazioni di business (Office 365, Salesforce, Box) tramite Single Sign-On (SSO).

Quali sono i vantaggi di AWS SSO?

AWS SSO può essere utilizzato per assegnare e gestire in modo semplice e veloce l'accesso dei dipendenti a più account AWS, applicazioni cloud con SAML (quali Salesforce, Office 365 e Box) e applicazioni in-house personalizzate da un'unica posizione. I dipendenti possono essere maggiormente produttivi accedendo con il nome utente e la password Active Directory aziendali esistenti alle applicazioni dal portale utente personalizzato. Ora i dipendenti non devono più ricordare molteplici gruppi di credenziali e URL di accesso alle applicazioni cloud e i nuovi dipendenti possono essere produttivi sin da subito. Dopo aver aggiunto gli utenti al gruppo Active Directory appropriato, disporranno automaticamente dell'accesso agli account e alle applicazioni che sono abilitate per i membri di tale gruppo. Avrai maggiore visibilità sull'utilizzo delle applicazioni cloud poiché pipo monitorare e controllare l'attività di accesso a livello centralizzato da AWS CloudTrail.

Quali problemi risolve AWS SSO?

AWS SSO elimina le complessità a livello amministrativo delle soluzioni SSO personalizzate utilizzate per effettuare il provisioning e gestire le identità tra gli account e le applicazioni di business di AWS. Quando si utilizzano più account AWS e si aggiungono periodicamente account, la configurazione di SSO con i servizi Active Directory Federation Services (AD FS) per accedere a tali account richiedere l'apprendimento del linguaggio di programmazione delle richieste AD FS personalizzate. È inoltre necessario preparare gli account AWS con le necessarie autorizzazioni per accedere a tali account. AWS SSO è inoltre disponibile senza costi aggiuntivi e riduce la complessità delle attività di configurazione ripetitive e di gestione disparata mediante una stretta integrazione con AWS. Se utilizzi password separate per accedere a differenti account AWS o applicazioni cloud, AWS SSO semplifica l'esperienza utente e migliora la sicurezza eliminando le password individuali necessarie per ogni account o applicazione di business di AWS sul cloud. AWS SSO risolve inoltre il problema correlato alla visibilità limitata dell'accesso alle applicazioni cloud integrandosi con AWS CloudTrail e offrendo una posizione centrale dove controllare l'accesso AWS ai tuoi account AWS e applicazioni cloud con SAML quali Office 365, Salesforce e Box.

Qual è il vantaggio di utilizzare AWS SSO?

AWS SSO dovrebbe essere utilizzato per aiutare i dipendenti a essere rapidamente più produttivi concedendo loto accesso agli account e applicazioni cloud di business di AWS senza dover scrivere script personalizzati o investire in soluzioni SSO generiche. AWS SSO dovrebbe inoltre essere utilizzato per ridurre le complessità a livello amministrativo e i costi di configurazione e gestione dell'accesso SSO.

AWS SSO è il posto dove i dipendenti possono accedere agli account e applicazioni di AWS di cui hanno bisogno durante la giornata lavorativa dal portale utente AWS SSO, indipendentemente da dove siano sviluppate oppure ospitate tali applicazioni.

Cosa è possibile fare con AWS SSO?

AWS SSO può essere utilizzato per assegnare in modo semplice e veloce ai tuoi dipendenti l'accesso agli account AWS gestiti con AWS Organizations, alle applicazioni cloud di business (quali Salesforce, Office 365 e Box) e le applicazioni personalizzate che supportano Security Assertion Markup Language (SAML) 2.0. I dipendenti possono accedere con il nome utente e la password aziendali esistenti alle applicazioni di business da un unito portale utente. AWS SSO ti consente inoltre di verificare l'accesso degli utenti ai servizi cloud tramite AWS CloudTrail.

A chi è destinato AWS SSO?

AWS SSO è destinato agli amministratori che gestiscono più account e applicazioni di business di AWS, che desiderano centralizzare la gestione degli accessi utente a tali servizi cloud e offrire ai dipendenti una posizione unica dove poter accedere a tali account e applicazioni senza dover ricordare ulteriori password.

Come si inizia a usare AWS SSO?

In qualità di nuovo cliente AWS SSO, procedi come segue:

  1. Accedi alla Console di gestione AWS dell'account principale nel tuo account AWS, quindi accedi alla console AWS SSO.
  2. Seleziona la directory utilizzata per archiviare le identità dei tuoi utenti e gruppi dalla console AWS SSO facendo clic su un elenco di istanze di Active Directory e di Active Directory Connector che AWS SSO rileva automaticamente nel tuo account. Se ancora non hai configurato una directory, consulta le Nozioni di base.
  3. Concedi agli utenti l'accesso SSO agli account AWS nella tua organizzazione selezionando gli account AWS da un elenco popolato da AWS SSO, quindi seleziona gli utenti o gruppi dalla tua directory e le autorizzazioni che desideri concedere loro. 
  4. Concedi agli utenti l'accesso alle applicazioni cloud di business:
    1. Seleziona una delle applicazioni dall'elenco di applicazioni preintegrate supportate in AWS SSO.
    2. Configura l'applicazione attenendoti alle istruzioni di configurazione.
    3. Seleziona gli utenti o gruppi che dovrebbero riuscire ad accedere a questa applicazione.
  5. Comunica ai dipendenti l'indirizzo Web di accesso AWS SSO generato quando hai collegato la directory in modo che possano accedere ad AWS SSO con il nome utente e la password di Active Directory e accedere agli account e applicazioni di business.

Quanto costa AWS SSO?

AWS SSO è disponibile senza costi aggiuntivi.

In quali regioni AWS è disponibile AWS SSO?

Per informazioni sulla disponibilità di AWS SSO per regione, consultare la tabella delle regioni di AWS.

Directory e supporto delle applicazioni

Quali directory è possibile utilizzare con AWS SSO?

AWS SSO può essere collegato a Microsoft Active Directory in esecuzione in locale o nel cloud AWS. AWS SSO supporta AWS Directory Service per Microsoft Active Directory, anche noto come AWS Managed Microsoft AD e AD Connector. AWS SSO non supporta Simple AD. Per ulteriori informazioni, consultare Nozioni di base su AWS Directory Service.

È possibile utilizzare i pool di utenti di Amazon Cognito come directory connessa in AWS SSO?

No, al momento no. Attualmente, AWS SSO supporta solo Microsoft Active Directory. Altri tipi di directory utente saranno utente in base ai feedback dei clienti e alla domanda.

Quali applicazioni basate sul cloud è possibile collegare utilizzando AWS SSO?

Ad AWS SSO è possibile collegare le seguenti applicazioni:

  1. Console di gestione AWS: puoi configurare l'accesso SSO alla Console di gestione AWS.
  2. Applicazioni SaaS di terze parti: AWS SSO è disponibile con applicazioni di business preintegrate di utilizzo comune. Per un elenco completo, vedere la console AWS SSO.
  3. Applicazioni SAML personalizzate: AWS SSO supporta le applicazioni che consentono la federazione delle identità tramite SAML 2.0. Per le applicazioni che non sono preintegrate con AWS SSO, puoi configurare SSO utilizzando la procedura guidata di creazione delle applicazioni personalizzate AWS SSO.

Gestisco utenti e gruppi in Active Directory in locale. Come posso collegare la mia directory ad AWS SSO? 

Per collegare Active Directory in hosting in locale ad AWS SSO sono disponibili due opzioni: (1) Utilizzare una relazione di fiducia di AWS Managed Microsoft AD oppure (2) utilizzare AD Connector.

AWS Managed Microsoft AD crea una Active Directory completamente gestita nel cloud AWS e può essere utilizzata per creare una relazione di fiducia di tipo "forest trust" tra la tua directory locale e AWS Managed Microsoft AD. Per configurare una relazione di fiducia, consultare Quando creare una relazione di fiducia.

AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory locale esistente senza caricare informazioni nella cache del cloud. Per collegarsi a una directory locale utilizzando AD Connector, vedere AD Connector.

Gestisco utenti e gruppi in AWS Identity and Access Management (IAM). Come posso collegare la mia directory ad AWS SSO? 

Al momento AWS SSO non supporta utenti e gruppi di AWS IAM.

È possibile collegare più di una directory ad AWS SSO? 

No. In qualsiasi momento è possibile avere solo una directory collegata ad AWS SSO. Tuttavia, puoi modificare la directory collegata.

Accesso SSO agli account AWS

Quali account AWS è possibile collegare ad AWS SSO?

Ad AWS SSO è possibile aggiungere qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account SSO è necessario attivare tutte le caratteristiche nella tua organizzazione.

Come posso configurare SSO sugli account AWS in un'unità organizzativa (OU) all'interno della mia organizzazione?

Puoi scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.

Com'è possibile controllare le autorizzazioni degli utenti quando utilizzano SSO per accedere al loro account?

Quando concedi l'accesso SSO ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in AWS SSO, personalizzandoli in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. AWS SSO applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, AWS SSO ti consente di applicare facilmente tali modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale utente AWS SSO, tali autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per tale sessione.

Per quali account AWS posso ottenere credenziali Interfaccia a riga di comando di AWS (CLI)?

Puoi ottenere credenziali AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall’amministratore AWS SSO. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.

Per quanto tempo sono valide le credenziali AWS CLI ottenute dal portale utente AWS SSO?

Le credenziali AWS CLI ottenute tramite il portale utente AWS SSO sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.

Accesso SSO alle applicazioni di business

Come si configura SSO sulle applicazioni di business, ad esempio Salesforce?

Dalla console AWS SSO, accedi al riquadro delle applicazioni, scegli Configure new application, quindi scegli un'applicazione dall'elenco di applicazioni cloud che sono preintegrate in AWS SSO. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

La mia azienda utilizza applicazioni di business che non sono presenti nell'elenco delle applicazioni preintegrate in AWS SSO. Posso utilizzare ugualmente AWS SSO? 

Sì. Se la tua applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console AWS SSO, accedi al riquadro delle applicazioni, scegliere Configure new application, quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

La mia applicazione supporta esclusivamente OpenID Connect (OIDC). È possibile configurare SSO con AWS SSO?

No. AWS SSO supporta solo applicazioni basate su SAML 2.0.

AWS SSO supporta il single sign-on sulle applicazioni native per dispositivi mobili e desktop?

No. AWS SSO supporta il single sign-on sulle applicazioni di business solamente tramite i browser. 

Varie

Quali dati vengono archiviati da AWS SSO per mio conto?

AWS SSO archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. AWS SSO creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.

AWS SSO supporta la Multi-Factor Authentication (MFA)? 

Sì. È possibile richiedere agli utenti di fornire un ulteriore fattore per l'autenticazione ad AWS SSO tramite un server Remote Authentication Dial-In User Service (RADIUS) e configurando il server RADIUS affinché funzioni con Active Directory o AD Connector.

In che modo i miei dipendenti possono iniziare a utilizzare AWS SSO?

I dipendenti possono iniziare a utilizzare AWS SSO visitando il portale utente AWS SSO generato quando colleghi la tua directory ad AWS SSO. Possono accedere con il nome utente e la password di Active Directory e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale utente AWS SSO.

Sono disponibili API per AWS SSO?

No. Per eseguire tutte le operazioni necessarie, puoi usare la console AWS SSO.

Vorrei aggiungere la mia applicazione di azienda come integrazione predefinita in AWS SSO. Dove posso trovare maggiori informazioni?

Per ulteriori informazioni, contattaci via e-mail.

Sei pronto per iniziare?

Registrati ad AWS Single Sign-On
Hai domande?
Contattaci